Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive con Microsoft Entra ID

Usare questo articolo per determinare e configurare la collaborazione esterna dell'organizzazione usando Microsoft Teams, OneDrive for Business e SharePoint. Una sfida comune consiste nel bilanciare la sicurezza e la facilità di collaborazione per gli utenti finali e gli utenti esterni. Se un metodo di collaborazione approvato viene percepito come restrittivo e oneroso, gli utenti finali evase il metodo approvato. Gli utenti finali potrebbero inviare messaggi di posta elettronica a contenuti non protetti o configurare processi e applicazioni esterni, ad esempio dropbox personale o OneDrive.

Prima di iniziare

Questo articolo è il numero 9 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Impostazioni identità esterne e ID Microsoft Entra

La condivisione in Microsoft 365 è parzialmente governata dalle identità esterne, dalle impostazioni di collaborazione esterna in Microsoft Entra ID. Se la condivisione esterna è disabilitata o limitata in Microsoft Entra ID, sostituisce le impostazioni di condivisione configurate in Microsoft 365. Un'eccezione è se l'integrazione di Microsoft Entra B2B non è abilitata. È possibile configurare SharePoint e OneDrive per supportare la condivisione ad hoc tramite una password monouso (OTP). Lo screenshot seguente mostra la finestra di dialogo Identità esterne, Impostazioni di collaborazione esterna.

Ulteriori informazioni:

• Interfaccia di amministrazione di Microsoft Entra
• Identità esterne in Microsoft Entra ID

Accesso utente ospite

Gli utenti guest sono invitati ad avere accesso alle risorse.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra.
2. Passare a Entra ID>Identità esterne>Impostazioni di collaborazione esterna.
3. Trova le opzioni di accesso utente ospite.
4. Per impedire l'accesso degli utenti guest ai dettagli di altri utenti guest e per impedire l'enumerazione delle appartenenze ai gruppi, selezionare Utenti guest con accesso limitato alle proprietà e alle appartenenze degli oggetti della directory.

Impostazioni dell'invito ospite

Le impostazioni dell'invito ospiti determinano chi invita gli ospiti e il modo in cui vengono invitati. Le impostazioni sono abilitate se l'integrazione B2B è abilitata. È consigliabile che gli amministratori e gli utenti, nel ruolo di Invitante Ospite, possano invitare. Questa impostazione consente la configurazione di processi di collaborazione controllati. Per esempio:

• Il proprietario del team invia un ticket che richiede l'assegnazione al ruolo di Invitatore degli ospiti:

  • Responsabile degli inviti ospiti
  • Accetta di non aggiungere utenti a SharePoint
  • Esegue verifiche di accesso regolari
  • Revoca l'accesso in base alle esigenze

• Il team IT:

  • Al termine della formazione, il team IT concede il ruolo di invitante ospite.
  • Garantisce che siano disponibili licenze sufficienti di Microsoft Entra ID P2 per i proprietari del gruppo Microsoft 365 che esamineranno.
  • Crea una verifica di accesso ai gruppi di Microsoft 365
  • Verifica che si verifichino verifiche di accesso
  • Rimuove gli utenti aggiunti a SharePoint

1. Selezionare il banner per passcode monouso per ospiti tramite posta elettronica.
2. Per abilitare l'iscrizione self-service per gli ospiti tramite flussi utente, seleziona Sì.

Restrizioni di collaborazione

Per l'opzione Restrizioni di collaborazione, i requisiti aziendali dell'organizzazione determinano la scelta dell'invito.

• Consenti l'invio di inviti a qualsiasi dominio (più inclusivo): qualsiasi utente può essere invitato
• Nega gli inviti ai domini specificati : qualsiasi utente esterno a tali domini può essere invitato
• Consenti inviti solo ai domini specificati (più restrittivi): qualsiasi utente esterno a tali domini non può essere invitato

Utenti esterni e utenti ospiti in Teams

Teams distingue tra gli utenti esterni (al di fuori della tua organizzazione) e gli utenti ospiti (account ospiti). È possibile gestire le impostazioni di collaborazione nell'interfaccia di amministrazione di Microsoft Teams in Impostazioni a livello di organizzazione. Le credenziali dell'account autorizzato sono necessarie per accedere al portale di amministrazione di Teams.

• Accesso esterno : Teams consente l'accesso esterno per impostazione predefinita. L'organizzazione può comunicare con tutti i domini esterni
  • Usare l'impostazione Accesso esterno per limitare o consentire domini
• Accesso ospite - gestire l'accesso ospiti in Teams

Scopri di più: usa l'accesso ospite e l'accesso esterno per collaborare con persone al di fuori della tua organizzazione.

La funzionalità Collaborazione identità esterne in Microsoft Entra ID controlla le autorizzazioni. È possibile aumentare le restrizioni in Teams, ma le restrizioni non possono essere inferiori alle impostazioni di Microsoft Entra.

Ulteriori informazioni:

• Gestire riunioni esterne e chat in Microsoft Teams
• Passaggio 1: Determinare il modello di identità cloud
• Modelli di identità e autenticazione per Microsoft Teams
• Etichette di riservatezza per Microsoft Teams

Gestire l'accesso in SharePoint e OneDrive

Gli amministratori di SharePoint possono trovare le impostazioni a livello di organizzazione nell'interfaccia di amministrazione di SharePoint. È consigliabile che le impostazioni a livello di organizzazione siano i livelli minimi di sicurezza. Aumentare la sicurezza in alcuni siti, in base alle esigenze. Ad esempio, per un progetto ad alto rischio, limitare gli utenti a determinati domini e disabilitare i membri dall'invitare ospiti.

Ulteriori informazioni:

• Interfaccia di amministrazione di SharePoint : sono necessarie le autorizzazioni di accesso
• Introduzione all'interfaccia di amministrazione di SharePoint
• Panoramica della condivisione esterna

Integrazione di SharePoint e OneDrive con Microsoft Entra B2B

Come parte della strategia per gestire la collaborazione esterna, è consigliabile abilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B. Microsoft Entra B2B dispone dell'autenticazione e della gestione degli utenti guest. Con l'integrazione di SharePoint e OneDrive, usare passcode monouso per la condivisione esterna di file, cartelle, elementi di elenco, raccolte documenti e siti.

Ulteriori informazioni:

• Autenticazione con passcode monouso tramite posta elettronica
• Integrazione di SharePoint e OneDrive con Microsoft Entra B2B
• Panoramica di Collaborazione B2B

Se si abilita l'integrazione di Microsoft Entra B2B, la condivisione di SharePoint e OneDrive è soggetta alle impostazioni delle relazioni organizzative di Microsoft Entra, ad esempio i membri possono invitare e gli utenti guest possono invitare.

Condivisione dei criteri in SharePoint e OneDrive

Nel portale di Azure è possibile usare le impostazioni condivisione esterna per SharePoint e OneDrive per configurare i criteri di condivisione. Le restrizioni di OneDrive non possono essere più permissive delle impostazioni di SharePoint.

Altre informazioni: Panoramica della condivisione esterna

Raccomandazioni per le impostazioni di condivisione esterna

Usare le indicazioni riportate in questa sezione durante la configurazione della condivisione esterna.

• Chiunque - Non consigliato. Se abilitata, indipendentemente dallo stato di integrazione, non vengono applicati criteri di Azure per questo tipo di collegamento.
  • Non abilitare questa funzionalità per la collaborazione regolamentata
  • Usarlo per restrizioni sui singoli siti
• Guest nuovi ed esistenti : consigliato, se l'integrazione è abilitata
  • Integrazione B2B di Microsoft Entra abilitata: i guest nuovi e attuali hanno un account guest Microsoft Entra B2B che è possibile gestire con i criteri di Microsoft Entra
  • Integrazione di Microsoft Entra B2B non abilitata: i nuovi guest non hanno un account Microsoft Entra B2B e non possono essere gestiti da Microsoft Entra ID
  • Gli ospiti hanno un account Microsoft Entra B2B, a seconda del modo in cui è stato creato l'ospite.
• Guest esistenti : consigliato, se l'integrazione non è abilitata
  • Con questa opzione abilitata, gli utenti possono condividere con altri utenti nella tua directory
• Solo gli utenti dell'organizzazione : non è consigliabile usare la collaborazione con utenti esterni
  • Indipendentemente dallo stato di integrazione, gli utenti possono condividere con altri utenti dell'organizzazione
• Limitare la condivisione esterna per dominio : per impostazione predefinita, SharePoint consente l'accesso esterno. La condivisione è consentita con domini esterni.
  • Usare questa opzione per limitare o consentire domini per SharePoint
• Consenti solo agli utenti di gruppi di sicurezza specifici di condividere esternamente : usare questa impostazione per limitare gli utenti che condividono il contenuto in SharePoint e OneDrive. L'impostazione in Microsoft Entra ID si applica a tutte le applicazioni. Usare la restrizione per indirizzare gli utenti alla formazione sulla condivisione sicura. Il completamento è il segnale per aggiungerli a un gruppo di sicurezza di condivisione. Se questa impostazione è selezionata e gli utenti non possono diventare un condivisore approvato, potrebbero trovare modi non approvati per la condivisione.
• Consenti agli utenti guest di condividere gli elementi di cui non sono proprietari : non consigliato. L'indicazione è di disabilitare questa funzionalità.
• Gli utenti che usano un codice di verifica devono ripetere l'autenticazione dopo questo numero di giorni (il valore predefinito è 30) - Consigliato

Controlli di accesso

L'impostazione dei controlli di accesso influisce su tutti gli utenti dell'organizzazione. Poiché potrebbe non essere possibile controllare se gli utenti esterni dispongono di dispositivi conformi, i controlli non verranno risolti in questo articolo.

• Disconnessione della sessione inattiva - Scelta consigliata
  • Usare questa opzione per avvisare e disconnettere gli utenti nei dispositivi non gestiti, dopo un periodo di inattività
  • È possibile configurare il periodo di inattività e l'avviso
• Percorso di rete : impostare questo controllo per consentire l'accesso dagli indirizzi IP di proprietà dell'organizzazione.
  • Per la collaborazione esterna, impostare questo controllo se i partner esterni accedono alle risorse quando si trovano nella rete o con la rete privata virtuale (VPN).

Collegamenti di file e cartelle

Nell'interfaccia di amministrazione di SharePoint è possibile impostare la modalità di condivisione dei collegamenti di file e cartelle. È possibile configurare l'impostazione per ogni sito.

Con l'integrazione di Microsoft Entra B2B abilitata, la condivisione di file e cartelle con utenti esterni all'organizzazione comporta la creazione di un utente B2B.

1. Per Scegliere il tipo di collegamento selezionato per impostazione predefinita quando gli utenti condividono file e cartelle in SharePoint e OneDrive, selezionare Solo persone nell'organizzazione.
2. Per Scegliere l'autorizzazione selezionata per impostazione predefinita per i collegamenti di condivisione, selezionare Modifica.

È possibile personalizzare questa impostazione per un valore predefinito per sito.

Link accessibili a chiunque

L'abilitazione dei collegamenti accessibili a chiunque non è consigliata. Se lo si abilita, impostare una scadenza e limitare gli utenti a visualizzare le autorizzazioni. Se si seleziona Visualizza solo autorizzazioni per file o cartelle, gli utenti non possono modificare i collegamenti Chiunque per includere privilegi di modifica.

Ulteriori informazioni:

• Panoramica della condivisione esterna
• Integrazione di SharePoint e OneDrive con Microsoft Entra B2B

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

1. Determinare la posizione di sicurezza per l'accesso esterno con Microsoft Entra ID

2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

3. Creare un piano di sicurezza per l'accesso esterno alle risorse

4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

6. Gestire l'accesso esterno con la gestione delle autorizzazioni di Microsoft Entra

7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID (qui)

10. Convertire gli account guest locali in account guest Microsoft Entra B2B